Server 2018 вы выполнили вход с учетной записью локального администратора: Не удается войти в учетную запись локального администратора — Windows Server
Содержание
Не удается войти в учетную запись локального администратора — Windows Server
Twitter
LinkedIn
Facebook
Адрес электронной почты
-
Статья -
-
Эта статья поможет устранить ошибки отказа в доступе, которые возникают после входа в учетную запись домена локального администратора.
Применимо к: Windows Server 2019, Windows Server 2016
Исходный номер базы знаний: 2738746
Симптомы
Рассмотрим следующий сценарий.
- Вы создаете учетную запись локального администратора на компьютере под управлением Операционной системы Windows Server 2003 или более поздней версии.
- Вы выполняете вход с помощью учетной записи локального администратора, а не встроенной учетной записи администратора, а затем настраиваете сервер в качестве первого контроллера домена в новом домене или лесу. Как и ожидалось, эта локальная учетная запись становится учетной записью домена.
- Эта учетная запись домена используется для входа в систему.
- Вы пытаетесь выполнять различные доменные службы Active Directory (AD DS).
В этом сценарии вы получаете ошибки отказа в доступе.
Причина
При настройке первого контроллера домена в лесу или новом домене локальная учетная запись пользователя преобразуется в субъект безопасности домена и добавляется в соответствующие встроенные группы домена, такие как пользователи и администраторы.
Так как встроенные локальные администраторы схемы, администраторы домена или группы администраторов предприятия отсутствуют, эти членства не обновляются в группах доменов и не добавляются в группу «Администраторы домена».
Обходной путь
Чтобы обойти это поведение, используйте Dsa.msc, Dsac.exe или модуль Active Directory Windows PowerShell, чтобы при необходимости добавить пользователя в группы администраторов домена и администраторов предприятия. Не рекомендуется добавлять пользователя в группу «Администраторы схемы», если вы не выполняете обновление или изменение схемы.
После того как вы выйдите из системы, а затем снова выполните вход, изменения членства в группах вступает в силу.
Такое поведение является ожидаемым и является конструктивным.
Хотя такое поведение всегда было в AD DS, улучшенные процедуры безопасности в бизнес-сетях представляют поведение клиентам, которые следуют рекомендациям Майкрософт по использованию встроенной учетной записи администратора.
Встроенная учетная запись администратора гарантирует, что хотя бы один пользователь имеет полное членство в группе администраторов в новом лесу.
Терминальный сервер на Windows Server 2012 в рабочей группе
Вы еще не знакомы с Windows Server 2012? Мне вот уже «посчастливилось» настраивать на нем терминальный сервер. Честно говоря, совершенно не понятно зачем было пихать новый ленточный интерфейс в сервер — логика Microsoft последнее время не поддается объяснению.
Но это не самое страшное. Отныне, для установки роли терминального сервера необходимо поднимать домен. Вот такого сюрприза я не ожидал… домен мне не нужен в принципе. Настройка домена занимает не много времени, но зачем плодить сущности там, где они не нужны.
Однако всё оказалось решаемо, пусть и с некоторыми дополнительными действиями, о которых узнал c technet.microsoft.com.
Настраиваем роль терминального сервера на WinServer 2012 без поднятия домена
Принципиальных отличий в установке Windows Server 2012 от Windows Server 2008 R2 нет, потому этот этап пропустим.
Замечу, что операционная система прекрасно ставится с флешки, на которую был записан образ (давно уже не использую CD/DVD — медленно и нудно). Перейдем непосредственно к установке роли RDS на сервере.
Для этого запустим Диспетчер серверов (Server Manager), и перейдем в поле Локальный сервер (Local Server)
Далее запускаем мастер добавления ролей и компонентов, где выбираем тип установки Установка ролей или компонентов (Role-based or feature-based installation)
Производить установку всех компонент роли RDS можно сразу, но на Technet, для лучшего понимания процесса, советуют разделить этот процесс на два этапа. Последуем этому совету и мы.
Первой установим компоненту Лицензирование удаленных рабочих столов (Remote Desktop Licensing)
После завершения процесса, запускаем Диспетчер лицензирования удаленных рабочих столов (RD Licensing Manager), в котором активируем наш сервер лицензий и устанавливаем пакет терминальных лицензий (например: Windows Server 2012 — RDS Per User CAL, 5 шт.
).
Никаких новшеств здесь нет, а потому описывать подробно данный процесс не стану (возможно раскрою тему в одной из будущих статей — жду ваших предложений и комментариев).
Весь процесс активации и установки пакета лицензий на себя берет мастер, наша задача правильно выбрать программу лицензирования, тип лицензий, количество и т.д.
Вторым этапом устанавливаем компоненту Узел сеансов удаленных рабочих столов (Remote Desktop Session Host).
После установки этой компоненты у нас появится Средство диагностики лицензирования удаленных рабочих столов (RD Licensing Diagnoser), которое сообщит нам ошибку об отсутствии сервера, раздающего терминальные лицензии (скриншота с ошибкой к сожалению не сделал, приведен уже работающий вариант сервера).
Стоит заметить, что в оснастке отсутствуют инструменты управления, которые были в Windows Server 2008 R2, т.е. возможности добавления сервера лицензий нет.
Настраиваем локальные политики для серверов находящихся в рабочей группе
Осталось самое интересное.
Исправить данную ситуация не сложно — достаточно настроить всего две локальные политики. В строке терминала пишем gpedit.msc и изменяем соответствующие ключи.
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Лицензирование — Использовать указанные серверы лицензирования удаленных рабочих столов (добавляем имя нашего сервера)
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Лицензирование — Задать режим лицензирования удаленных рабочих столов (выбираем тип лицензий)
Англоязычный вариант:
Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Licensing — Use the specified Remote Desktop license servers (добавляем имя нашего сервера)
Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Licensing — Set the Remote licensing mode (выбираем тип лицензий)
Установка компоненты — Remote Desktop Web Access
Если, в качестве клиента требуется использовать браузер, устанавливаем дополнительную компоненту Remote Desktop Web Access.
Тутвообще все просто, нужно лишь разрешить мастеру добавить то, что он хочет, в частности IIS. После окончания установки, на клиентской машине в браузере сервер должен ответить и показать страницу Remote Web Access.
Обратиться к серверу терминалов через браузер можно по адресу https://ip/rdweb
Подписывайтесь на канал
Яндекс.Дзен
и узнавайте первыми о новых материалах, опубликованных на сайте.
Не удалось войти в систему с учетной записью локального администратора — Windows Server
Редактировать
Твиттер
Фейсбук
Электронная почта
- Статья
Эта статья поможет устранить ошибки отказа в доступе, возникающие после входа в систему с учетной записью локального администратора домена.
Применяется к: Windows Server 2019, Windows Server 2016
Исходный номер базы знаний: 2738746
Симптомы
Рассмотрим следующий сценарий:
- Вы создаете учетную запись локального администратора на компьютере под управлением Windows Server 2003 или более поздней операционной системы.
- Вы входите в систему, используя учетную запись локального администратора вместо встроенной учетной записи администратора, а затем настраиваете сервер как первый контроллер домена в новом домене или лесу. Как и ожидалось, эта локальная учетная запись становится учетной записью домена.
- Вы используете эту учетную запись домена для входа в систему.
- Вы пытаетесь выполнить различные операции доменных служб Active Directory (AD DS).
В этом случае вы получаете ошибки отказа в доступе.
Причина
При настройке первого контроллера домена в лесу или новом домене локальная учетная запись пользователя преобразуется в субъект безопасности домена и добавляется в соответствующие встроенные группы домена, такие как «Пользователи» и «Администраторы».
Поскольку нет встроенных локальных групп администраторов схемы, администраторов домена или администраторов предприятия, эти членства не обновляются в группах домена, и вы не добавляетесь в группу администраторов домена.
Обходной путь
Чтобы обойти эту проблему, используйте Dsa.msc, Dsac.exe или модуль Active Directory Windows PowerShell, чтобы при необходимости добавить пользователя в группы администраторов домена и администраторов предприятия. Мы не рекомендуем добавлять пользователя в группу администраторов схемы, если вы в настоящее время не выполняете обновление или модификацию схемы.
После того, как вы выйдете из системы и снова войдете в нее, изменения членства в группе вступят в силу.
Такое поведение ожидаемо и предусмотрено дизайном.
Хотя такое поведение всегда присутствовало в доменных службах Active Directory, улучшенные процедуры безопасности в бизнес-сетях сделали его доступным для клиентов, которые следуют рекомендациям Microsoft по использованию встроенной учетной записи администратора.
Встроенная учетная запись администратора гарантирует, что хотя бы один пользователь имеет полное членство в административной группе в новом лесу.
удаленный рабочий стол — сервер терминалов — RDP с локальным администратором
Задавать вопрос
спросил
Изменено
1 год, 3 месяца назад
Просмотрено
155 тысяч раз
У меня настроен сервер терминалов на Windows Server 2008 R2.
Я пытаюсь войти в него с помощью RDP, используя учетную запись локального администратора. (не администратор домена)
Я поместил локального администратора в группу пользователей удаленного рабочего стола, но при попытке войти в систему все еще получаю следующее сообщение:
Чтобы войти на этот компьютер, вам необходимо предоставить право входа в систему через службы терминалов.
По умолчанию этим правом обладают члены группы «Пользователи удаленного рабочего стола». Если вы не являетесь членом группы «Пользователи удаленного рабочего стола», у которой есть это право, или если группа «Пользователи удаленного рабочего стола» не имеет этого права, вам необходимо предоставить это право вручную.
По умолчанию этим правом обладают члены группы «Пользователи удаленного рабочего стола». Если вы не являетесь членом группы «Пользователи удаленного рабочего стола», у которой есть это право, или если группа «Пользователи удаленного рабочего стола» не имеет этого права, вам необходимо предоставить это право вручную.Будем признательны за любую помощь.
Примечания:
Я нашел временное решение; Установите LogMeIn, я вошел в учетную запись локального администратора удаленно без проблем
- Сервер ЯВЛЯЕТСЯ частью домена.
- Пользователи домена, помещенные в группу пользователей RDP, могут успешно войти в систему без каких-либо проблем.
- Я поместил локального администратора в локальную группу RDP. (И он не работает)
- Сервер TS является системой «vigrin»
- AD/DNS не являются «первоначальными».
- Пока НЕТ групп с ограниченным доступом.
- Я использую \Administrator в качестве логина (это позволяет избежать входа в домен)
- Также пробовал имя_компьютера\Администратор и . \Администратор
- Уровень функциональности домена — Windows Server 2008 R2
- Невозможно изменить групповую политику: «Разрешить вход через службы удаленных рабочих столов» (кнопка добавления неактивна) +
\Администратор.
+: Следующее замечание по групповой политике;
В нем говорится, что «Этот параметр несовместим с компьютерами под управлением Windows 2000 SP1 или более ранней версии. Применяйте объекты групповой политики, содержащие этот параметр, только к компьютерам с более поздней версией ОС.
- терминал
- удаленный рабочий стол
- windows-server-2008-r2
- администратор
- терминальный сервер
4
\Администратор не будет использовать сервер RD в качестве домена.
Вам либо нужно указать имя компьютера сервера ( remoteComputerName\Administrator ), либо использовать точку ( .\Administrator ), чтобы сообщить удаленному компьютеру, что домен для учетных данных — это он сам.
